Praktycznie wszystkie podmioty na rynku, które chcą działać w sieci legalnie, będą musiały zmierzyć się z wyzwaniem przetwarzania danych. Co to znaczy przetwarzać dane osobowe lub dane na stronie firmowej firmy? – Otóż, każda strona internetowa, będąc blogiem, czy zwykłą wizytówką firmy, albo skomplikowanym sklepem internetowym może potencjalnie przetwarzać dane użytkowników choćby po to, aby analizować wejścia potencjalnych odbiorców na stronę i określić ich zaangażowanie w systemie analitycznym. Korzystając z technologii automatycznej analizy danych – takiej jak na przykład rejestracja plików Cookies należy zweryfikować, czy dane takie mają charakter danych osobowych. W przypadku pozytywnej odpowiedzi konieczne jest dopełnienie obowiązków wynikających z przepisów Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO) jak również wynikających z ustawy Prawo Telekomunikacyjne. Jednym ze sposobów realizacji takich obowiązków może być przygotowanie i opublikowanie na stronie internetowej polityki prywatności.
Polityka prywatności jest popularną nazwą dokumentu, który realizuje obowiązek informacyjny wynikający z art. 13 lub 14 RODO. Często dokument ten zawiera nieco więcej informacji, niż wymagane minimum, np. szczegółowe dane na temat rejestrowania i przetwarzania plików Cookies – co odróżnia „politykę prywatności” od „klauzuli informacyjnej” – choć jest to rozróżnienie nie na poziomie wymogów prawnych, a raczej semantyki. Celem tego dokumentu jest przekazanie wszystkim osobom odwiedzającym stronę internetową, w jaki sposób administrator tej strony zbiera dane oraz je przetwarza. Polityka prywatności powinna zawierać w sobie wszystkie niezbędne informacje dotyczące przetwarzania danych osobowych – w tym danych klientów sklepu internetowego, osób odwiedzających witrynę czy osób, które skorzystały z oferowanych na niej usług – np. odbiorców newsletterów.
Polityka prywatności na stronie nie tylko wypełnia obowiązki wynikające z przepisów prawa, ale, co też jest ważne, będzie odpowiadać za budowanie zaufania między administratorem strony a jej użytkownikiem. W dokumencie pokazany jest między innymi zakres przetwarzanych danych, cel ich przetwarzania oraz czas jego trwania.
Jest to dokument przydatny również dla administratora – porządkuje bowiem kwestie przetwarzania danych na stronie, ułatwiając zarządzanie tymi danymi jak również wprowadzanie ewentualnych zmian.
Przepisy prawa, w szczególności RODO, wymagają od administratora serwisu internetowego zrealizowania obowiązku informacyjnego. Temat szczegółowego zakresu danych, które w takiej polityce muszą się znaleźć oraz tych, które warto tam zamieści, jest dość szeroki i postaramy się przedstawić go w odrębnej publikacji. Zastanowić się jednak należy, kiedy administrator niemal na pewno powinien zadbać o stworzenie tego dokumentu.
Polityka prywatności powinna być dostępna na stronie internetowej, gdy:
Polityka prywatności powinna zawierać co najmniej informacje, których zakres określono w art. 13 lub 14 RODO. Co za tym idzie – należy w pierwszej kolejności przeanalizować, który z powyższych artykułów będzie miał zastosowanie u danego administratora.
Oprócz tego warto zastanowić się nad rozszerzeniem informacji zawartej w Polityce o kwestie stosowanych technologii automatycznego zbierania i przetwarzania danych, korzystania z usług firm trzecich (np. Google Pixel, Google Maps lub podobnych).
Elementem podnoszącym wiarygodność serwisu będzie choćby ogólna informacja o metodach zabezpieczania danych czy procedur związanych z incydentami bezpieczeństwa.
Generalnie temat zawartości polityki prywatności jest dość obszerny.
Podkreślić należy, że nie ma tu uniwersalnego wzoru dla każdego serwisu i administratora. Każdorazowo należy dokonać analizy serwisu, zakresu danych oraz ryzyka związanego z ich przetwarzaniem i w zależności od wyniku takiego badania podjąć decyzję o zakresie polityki prywatności.
Dla niektórych stron całkowicie wystarczająca będzie kilkuzdaniowa informacja, dla innych – kilkunastostronicowy dokument. Ważne, żeby polityka ta była dopasowana zarówno do danego serwisu, jak i zrozumiała dla jego użytkowników – zarówno w zakresie przyjętej formy jak i treści. Nie ma bowiem żadnych wymagań co do sposobu prezentacji takich danych – dopuszcza się nawet formę graficzną lub słowno-graficzną.
Skorzystanie z usług profesjonalisty przy analizie potrzeb i tworzeniu takiego dokumentu warte jest rozważenia – może bowiem pomóc przygotować optymalny dla danego administratora dokument.
W kancelarii prawnej LT LAW Ciupka, Stachurski stawiamy na bezpośredni kontakt z klientem i indywidualizację stosowanych rozwiązań.
Pokazując proces tworzenia polityki prywatności, chcielibyśmy posłużyć się przykładem naszej Kancelarii.
Poprzez serwis internetowy ltlaw.pl pozyskujemy dane osób, które chcą umówić się na spotkanie z prawnikiem. Korzystamy również z danych analitycznych dotyczących ruchu na stronie, ale nie zidentyfikowaliśmy w tym zakresie przetwarzania żadnych danych osobowych.
Zakres danych, jakie przetwarzamy na stronie jest stosunkowo niewielki – głównie są to dane do kontaktu. Skala przetwarzania również jest ograniczona. Z analizy ryzyka danych użytkowników strony wynika ocena na poziomie niskim.
Jednak jako kancelaria prawna pozyskujemy w stosunku do osób, które zleciły nam realizację określonych prac dość wrażliwe informacje, które niezbędne są przy realizacji zleceń – gdzie ryzyka związane z potencjalnym incydentem są dość duże. Działanie to ma oparcie w przepisach prawa – w szczególności treści ustawy o radcach prawnych.
Przeprowadziwszy powyższą analizę – którą naturalnie przedstawiam w sposób istotnie skrócony – zdecydowaliśmy o przygotowaniu zwięzłej, ale bardzo skondensowanej w treści polityki prywatności.
Ponieważ jesteśmy kancelarią prawną, uznaliśmy, że w tym konkretnym przypadku zastosujemy sformalizowaną formę komunikacji.
Końcowy efekt prac na polityką wygląda następująco:
Warto wspomnieć, iż RODO dopuszcza stosowanie tzw. informacji warstwowej. Oznacza to, że w treści korespondencji (np. w stopce) możemy zamieścić skróconą informację, zawierającą przede wszystkim dane administratora i informacje o głównych uprawnieniach użytkownika, z linkiem do pełnej polityki prywatności. Taka skrócona informacja może znajdować się np. pod formularzem kontaktowym czy formularzem rejestracyjnym lub obok zgody na przetwarzanie danych osobowych – jeżeli takowa jest zbierana.
Nie ma natomiast obowiązku umieszczania boxu potwierdzającego, iż użytkownik zapoznał się czy też akceptuje politykę prywatności. RODO wymaga jedynie przekazania takiej informacji, nie zaś otrzymania akceptacji adresata tego dokumentu.
Posiadanie profesjonalnie przygotowanej i dopasowanej do zawartości stron internetowych polityki prywatności jest obecnie nie tylko wymogiem prawnym, ale przede wszystkim wyrazem rzetelności administratora strony.
Obecnie świadomość wartości danych osobowych, czy w ogóle danych powierzanych firmom działającym w sieci jest już bardzo wysoka.
Polityka prywatności jest widoczna i łatwa do odszukania. Rzetelność, staranność wykonania i czytelność tego dokumentu buduje pierwsze wrażenie w odniesieniu do potencjalnego odbiorcy danych osobowych i może istotnie przełożyć się na zaufanie wobec administratora strony czy serwisu.
Warto więc zadbać, aby taka polityka była dobrą wizytówką przedsiębiorcy działającego w sieci. Oprócz tego uporządkowanie i zebranie w jednym miejscu najważniejszych informacji o zasadach postępowania z danymi osobowymi pomaga również samemu administratorowi w procesie zarządzania zmianą, rozwojem serwisu, ale również w sytuacjach trudnych – takich jak incydenty bezpieczeństwa czy obsługa potencjalnych skarg.
